“如果把用戶的QQ信息比作一頭牛，各層轉(zhuǎn)賣者就像一條流水線，牛在流水線上被依次剝皮去肉，最后剩下的骨頭也被充分利用。”2012年12月10日上午，江蘇省常州市公安局網(wǎng)絡(luò)安全支隊(duì)(以下簡稱常州網(wǎng)安支隊(duì))第三大隊(duì)副大隊(duì)長瞿俊告訴記者。活躍用戶超過7億的網(wǎng)絡(luò)聊天工具QQ早已成為黑客們的目標(biāo)。近期，經(jīng)過四個(gè)月的調(diào)查，常州市公安局破獲了一起利用“掠奪者”“Q幣大盜”“NewQ大盜”三款木馬軟件的盜號團(tuán)伙。不到一年時(shí)間，數(shù)千萬個(gè)QQ號被盜，盜號量占全國被盜QQ號總數(shù)的90%，造成數(shù)百萬用戶4000多萬元的財(cái)產(chǎn)損失。

盜號拿“信”

近日，常州網(wǎng)安支隊(duì)接到了一起關(guān)于QQ被盜的報(bào)案，涉及160個(gè)Q幣。警方對受害人電腦進(jìn)行電子勘驗(yàn)，一款叫做“掠奪者”的木馬程序被發(fā)現(xiàn)。這款程序不僅能盜取QQ密碼，而且還能避開騰訊公司的驗(yàn)證系統(tǒng)而對Q幣進(jìn)行轉(zhuǎn)移。與此同時(shí)，網(wǎng)安支隊(duì)又接到了另外一起通過QQ進(jìn)行詐騙的報(bào)案，在受害人的電腦中發(fā)現(xiàn)了一款叫做“Q幣大盜”的木馬程序。木馬所指向的服務(wù)器成為唯一的破案線索。

涉案服務(wù)器的注冊地位于南通市，而他的租用者卻遠(yuǎn)在天津，訪問過該服務(wù)器的IP地址則遍布全國各地。專案組陸續(xù)鎖定了15個(gè)省(市、區(qū))，31名犯罪嫌疑人。其中包括掌握著“掠奪者”“Q幣大盜”“NewQ大盜”三款木馬的犯罪嫌疑人。

27歲的于闊是“Q幣大盜”的總代理，2012年年初，于闊從同行“帥公子”即“掠奪者”木馬的控制者鈕華建手中拿到了這款木馬樣本。經(jīng)破解，該木馬可以將“信”直接發(fā)到他的服務(wù)器上。按于闊的話說，“這款馬非常好用，兼容性強(qiáng)，信也很穩(wěn)定。”

“信”是QQ盜號行業(yè)的術(shù)語，一組QQ用戶名和密碼稱為一個(gè)“信”。而批量傳送給黑客信息在圈內(nèi)叫做“信封”，根據(jù)產(chǎn)品不同分為“裝備信封”“QQ信封”等等。通過黑客工具，將信里面有價(jià)值的信息(QQ靚號，QQ幣，有價(jià)值的游戲裝備等)篩選出來的過程稱為“洗信”。

據(jù)了解，一部分這類木馬來自技術(shù)交流論壇，一些技術(shù)高手會(huì)在論壇上炫耀自己的技術(shù)能力，而這時(shí)一些盜號團(tuán)伙就會(huì)把這個(gè)源文件進(jìn)行破解后為己所用。而更多的時(shí)候，是在警方端掉一個(gè)盜號團(tuán)伙后，他們直接將沒人控制的木馬重新破譯據(jù)為己有。

“掠奪者”木馬的操控者鈕華建就是在今年年初，看到之前的盜號團(tuán)伙被警方端掉后，找人破譯了無人操控的“掠奪者”木馬，自己一步步發(fā)展起來。

洗“信”牟利

當(dāng)“掠奪者”等木馬盜取海量QQ號碼后，于闊、鈕華建這些總代理就會(huì)將號碼分批賣給下線的“洗信工作室”。

騰訊公司安全中心在2012年7月發(fā)布的《QQ盜號產(chǎn)業(yè)鏈分析和應(yīng)對》報(bào)告指出，QQ盜號的黑色產(chǎn)業(yè)已經(jīng)呈現(xiàn)集團(tuán)化及行業(yè)細(xì)化的特征。

常州網(wǎng)安支隊(duì)第三大隊(duì)副大隊(duì)長瞿俊說，現(xiàn)在只要會(huì)使用QQ的人基本就可以成立一個(gè)洗信工作室。他們可以從總代理那里直接買“信”，然后將“信”中有價(jià)值的Q幣、游戲幣轉(zhuǎn)移出來，通過“5173”“淘寶”等交易平臺變現(xiàn)，就可以完成牟利過程。

于闊對記者說，一般一萬個(gè)信會(huì)賣1000塊錢，但這些信是可以重復(fù)售賣的。第一步先是洗“Q幣”，在支付一定報(bào)酬后，于闊會(huì)把存有海量信的服務(wù)器密碼轉(zhuǎn)給第一級“洗信人”。讓他們在規(guī)定時(shí)間內(nèi)把里面Q幣全部轉(zhuǎn)到一個(gè)指定賬號，洗過Q幣以后，于闊會(huì)同樣再把“箱子”交給下一級的“洗信人”，由他們在規(guī)定的時(shí)間內(nèi)，把游戲裝備、游戲積分、游戲賬號以及游戲幣等凡是能兌換成錢的游戲財(cái)物轉(zhuǎn)走，存入固定賬號。“箱子”里的賬號經(jīng)過兩輪洗幣的賬號，還會(huì)交給下一級“洗信人”進(jìn)行第三步剝削挑QQ靚號。

靚號被挑完后，于闊還會(huì)將“箱子”交給在海量QQ空間內(nèi)植入廣告的團(tuán)隊(duì)。瞿俊說，“于闊、鈕華建這個(gè)團(tuán)伙每天能盜四五十萬個(gè)QQ號，半年下來就有數(shù)千萬個(gè)QQ號，其中大部分QQ網(wǎng)友開通了QQ空間，面對如此龐大的受眾群，這級"洗信人"把代理的各種游戲、色情等廣告放進(jìn)空間，賺取高額推廣費(fèi)不費(fèi)吹灰之力。”

最后，被榨凈的QQ號還會(huì)賣給黑客用來編寫密碼詞典。黑客進(jìn)行編譯、分析、比對后，從而對客戶網(wǎng)銀賬戶進(jìn)行破解。在行業(yè)內(nèi)，各個(gè)洗信工作室有各自的專攻項(xiàng)目，而且會(huì)非常“守信用”，絕不相互侵犯利益。

幕后“掛馬”人

對于闊、鈕華建這樣的總代理來說，擁有一款效果穩(wěn)定的木馬和下級“洗信人”只是第一步，他們更需要將木馬植入到用戶的電腦中，才能真正獲得利益。因此掌握著大量網(wǎng)站資源的人被總代理們格外珍視，這些人在行業(yè)內(nèi)被稱為“流量商”，即“掛馬”人。

瞿俊介紹說，流量商或者自己是網(wǎng)站的站長，或者與很多網(wǎng)站站長熟識，他們將病毒木馬掛在點(diǎn)擊率較高的網(wǎng)頁上，當(dāng)用戶點(diǎn)擊到那些彈出窗口時(shí)，木馬病毒就“種”到了用戶的計(jì)算機(jī)上。“流量商就像黑老大一樣控制著我們。”在看守所中的于闊反反復(fù)復(fù)對記者說，“他讓我干什么，我就得干什么。”

于闊說，流量商會(huì)要求他到指定的人手中去買服務(wù)器，包括防火墻等一系列的東西。“如果不做，他馬上就把我的馬撤下來。”而且這些流量商在選擇合作的下線盜號總代理時(shí)，通常都會(huì)有非?？量痰囊螅陂熣f，他們通常會(huì)要求總代理能夠提供幾種木馬的下載，同時(shí)還要保證馬的更新和免殺，而且還要有渠道能夠包銷所有的信。

瞿俊介紹說，這些流量商通常都具有一定的技術(shù)，如果某些網(wǎng)站不同意“掛馬”或者掛了別人的馬，流量商就會(huì)暴力攻擊這些網(wǎng)站的服務(wù)器，強(qiáng)迫網(wǎng)站接受掛馬。

在偵破過程中，專案組成員發(fā)現(xiàn)流量商是盜號整個(gè)流程中“旱澇保收”的一個(gè)環(huán)節(jié)，據(jù)了解，流量商根據(jù)IP流量對網(wǎng)站進(jìn)行付費(fèi)，1萬IP大約需要80元~120元人民幣，而流量商向總代理收費(fèi)則是按信收費(fèi)，1萬信800元~1000元不等。瞿俊說，“一般一個(gè)質(zhì)量比較好的站，4萬左右的流量就可以拿到1萬信。此次抓捕的一個(gè)流量商，封存賬號內(nèi)就有280萬元。”

如今，在看守所里的于闊非常關(guān)心自己會(huì)受到什么樣的審判，同時(shí)也不斷地強(qiáng)調(diào)，“如果不抓住流量商，就不可能杜絕盜號，他們隨時(shí)可以找到替代我們的人。”